31 марта 2026 года Google Quantum AI, дочерняя компания Google, опубликовала белую книгу, вызвавшую широкий интерес, в которой утверждалось, что ресурсы, необходимые для взлома биткоин-шифрования с помощью квантового компьютера в будущем, снизились примерно в 20 раз по сравнению с предыдущими оценками. Это исследование быстро вызвало оживленные обсуждения в отрасли, и заголовки вроде «Квантовый компьютер взломает биткоин за 9 минут» начали распространяться на рынке. Но честно говоря, такой панический настрой возникает каждый год один-два раза; просто на этот раз он звучит особенно убедительно благодаря имени Google.
Мы систематически проанализировали эту 57-страничную статью и ряд ключевых исследований, опубликованных одновременно с ней, чтобы разобрать степень достоверности соответствующих утверждений, оценить реальное влияние современного развития квантовых вычислений на криптовалютную и майнинговую отрасли, а также определить, на какой стадии находятся связанные риски и действительно ли они являются срочными.
Пересмотренные технические риски
Традиционно безопасность биткоина основана на одностороннем математическом соотношении. При создании кошелька система генерирует закрытый ключ, а открытый ключ выводится из закрытого ключа. При использовании биткоина пользователь должен доказать владение закрытым ключом, но не раскрывает его напрямую — вместо этого он использует закрытый ключ для создания криптографической подписи, которую сеть может проверить. Эта система безопасна, потому что современным компьютерам потребовалось бы несколько миллиардов лет, чтобы восстановить закрытый ключ из открытого ключа; точнее, время, необходимое для взлома алгоритма цифровой подписи на эллиптических кривых (ECDSA), значительно превышает текущие практические возможности, поэтому с криптографической точки зрения блокчейн считался неуязвимым.
Однако появление квантовых компьютеров нарушило это правило. Они работают иначе: вместо того чтобы перебирать ключи по одному, они одновременно исследуют все возможные варианты и используют эффект квантовой интерференции для нахождения правильного ключа. По аналогии, традиционный компьютер — это человек в темной комнате, который пробует ключи по одному, а квантовый компьютер — как несколько универсальных ключей, которые одновременно подходят ко всем замкам, более эффективно приближаясь к правильному ответу. Как только квантовый компьютер станет достаточно мощным, злоумышленник сможет быстро вычислить ваш приватный ключ по вашему публичному ключу, подделать транзакцию и перевести ваши биткоины на свой счет. Если такая атака произойдет, из-за необратимости транзакций в блокчейне вернуть активы будет крайне сложно.
31 марта 2026 года Google Quantum AI в сотрудничестве со Стэнфордским университетом и Фондом Ethereum опубликовала белую книгу объемом 57 страниц. Основной целью этой статьи является оценка конкретной угрозы, которую квантовые вычисления представляют для алгоритма цифровой подписи на эллиптических кривых (ECDSA). Большинство блокчейнов и криптовалют используют 256-битную криптографию на эллиптических кривых, основанную на проблеме дискретного логарифма (ECDLP-256), для защиты кошельков и транзакций. Исследовательская группа обнаружила, что ресурсы, необходимые для взлома ECDLP-256, значительно сократились.
Они разработали квантовую схему для выполнения алгоритма Шора, специально предназначенную для обратного извлечения закрытого ключа из открытого ключа. Эта схема требует работы на квантовом компьютере определенного типа — сверхпроводящей архитектуры квантовых вычислений. Это основное направление разработки таких компаний, как Google и IBM, характеризующееся высокой скоростью вычислений, но требующее крайне низких температур для поддержания стабильности кубитов. При предположении, что производительность оборудования соответствует стандарту флагманского квантового процессора Google, такая атака может быть выполнена за несколько минут с использованием менее 500 000 физических кубитов. Это число снижено примерно в 20 раз по сравнению с предыдущими оценками.
Для более наглядной оценки этой угрозы исследовательская команда провела моделирование взлома. Подставив вышеуказанную конфигурацию схемы в реальную среду транзакций Bitcoin, они обнаружили, что теоретический квантовый компьютер может выполнить обратное вычисление от открытого ключа к частному ключу примерно за 9 минут с вероятностью успеха около 41%. Среднее время создания блока в Bitcoin составляет 10 минут. Это означает, что не только примерно 32–35% предложения Bitcoin находятся под риском статического взлома из-за того, что их открытые ключи уже опубликованы в блокчейне, но и злоумышленники теоретически могут перехватить транзакцию до её подтверждения и перевести средства первыми. Хотя квантовый компьютер с такими возможностями пока не существует, это открытие расширило квантовую угрозу от «статического извлечения активов» до «перехвата транзакций в реальном времени», вызвав значительную тревогу на рынке.
Google в то же время предоставил еще одну ключевую информацию: компания перенесла внутренний срок перехода на постквантовую криптографию (PQC) на 2029 год. Проще говоря, переход на постквантовую криптографию означает замену «замков» всех сегодняшних систем, зависящих от RSA и эллиптической криптографии, на такие, которые трудно взломать с помощью квантовых компьютеров. До публикации Google этого белого документа этот переход планировался как долгосрочный проект. Ранее Национальный институт стандартов и технологий США (NIST) установил график: отказ от старых алгоритмов до 2030 года и полный запрет до 2035 года; отрасль считала, что у нее есть около десяти лет на подготовку. Однако Google на основе последних достижений в трех направлениях — квантовом оборудовании, квантовой коррекции ошибок и оценке ресурсов для квантового факторизации — пришел к выводу, что угроза со стороны квантовых компьютеров ближе, чем предполагалось ранее, и значительно ускорил свой внутренний срок перехода до 2029 года. Это объективно сократило срок подготовки всей отрасли и передало криптоиндустрии сигнал: прогресс в области квантовых компьютеров идет быстрее ожидаемого, и обновление безопасности необходимо включить в повестку дня как можно скорее. Это, безусловно, исследование里程碑ного значения, однако в процессе медиа-освещения тревога была преувеличена. Как нам следует рационально воспринимать это воздействие?
Нужно ли действительно беспокоиться
Сможет ли квантовый компьютер сделать всю сеть Bitcoin неэффективной?
Существует угроза, но она сосредоточена на безопасности подписей. Квантовые вычисления не оказывают прямого влияния на базовую структуру блокчейна и не делают механизм майнинга неэффективным. На самом деле они направлены на процесс цифровой подписи. Каждая транзакция биткоина требует подписи частным ключом для подтверждения принадлежности средств. Сеть проверяет, правильна ли подпись. Потенциальная способность квантовых вычислений заключается в том, чтобы, зная открытый ключ, восстановить частный ключ и подделать подпись.
Это создает два реальных риска. Один возникает в процессе торговли: когда транзакция инициируется, информация попадает в сеть, но еще не включена в блок, теоретически существует возможность ее опережающей замены — такие атаки называются «on-spend attack». Второй — направлен на адреса, чьи открытые ключи уже были раскрыты в прошлом, например, кошельки с долгое время неиспользуемыми или многократно используемыми адресами; такие атаки предоставляют больше времени и легче понимаются.
Однако важно подчеркнуть, что эти риски не являются общими для всех биткоинов или всех пользователей. Угроза существует только в течение нескольких минутного окна, когда вы инициируете транзакцию, или если ваш адрес ранее уже раскрыл свой открытый ключ. Это не представляет собой немедленного подрыва всей системы.
2. Угроза придет так быстро?
Предпосылкой «взлома за 9 минут» является наличие уже созданного отказоустойчивого квантового компьютера с 500 000 физическими кубитами. В настоящее время самый передовой чип Google — Willow — имеет всего 105 физических кубитов, процессор IBM Condor — около 1 121, что на несколько сотен раз меньше порога в 500 000. Согласно оценке исследователя Фонда Ethereum Джастин Дрейка, вероятность наступления «Квантового дня» (Q-Day) к 2032 году составляет всего 10%. Таким образом, это не срочная угроза, но и не полностью игнорируемый хвостовой риск.
3. Какова наибольшая угроза квантовых вычислений?
Биткойн не является наиболее подверженным влиянию системой; он просто наиболее наглядный и легко воспринимаемый общественностью с точки зрения стоимости. Вызов, связанный с квантовыми вычислениями, представляет собой более широкую системную проблему. Вся интернет-инфраструктура, основанная на криптографии с открытым ключом, включая банковские системы, государственную связь, защищенную электронную почту, цифровые подписи программ и системы аутентификации личности, столкнется с той же угрозой. Именно поэтому такие организации, как Google, Агентство национальной безопасности США (NSA) и Национальный институт стандартов и технологий США (NIST), в течение последнего десятилетия активно продвигают переход на постквантовую криптографию. Как только появится квантовый компьютер с реальной способностью к атаке, под ударом окажется не только криптовалюта, но и вся система доверия цифрового мира. Следовательно, это не единичный риск, связанный с биткойном, а системное обновление всей глобальной информационной инфраструктуры.
Представления и жизнеспособность квантовой добычи
В тот же день, когда Google опубликовала статью, BTQ Technologies выпустила исследовательскую работу под названием «Kardashev Scale Quantum Computing for Bitcoin Mining», количественно оценивавшую жизнеспособность квантовой добычи с физической и экономической точек зрения. Автор статьи Пьер-Люк Даллэйр-Демерс создал полную модель всех технологических аспектов квантовой добычи — от базового оборудования до верхнеуровневых алгоритмов — и на этой основе оценил реальную стоимость добычи биткоинов с помощью квантового компьютера.
Исследования показали, что даже при самых благоприятных предположениях для майнинга с использованием квантового компьютера требуется примерно 10⁸ физических кубитов и 10⁴ мегаватт мощности, что примерно эквивалентно общему выходу крупной национальной электросети. При сложности основной сети Bitcoin в январе 2025 года необходимые ресурсы резко возрастают до примерно 10²³ физических кубитов и 10²⁵ ватт, что приближается к уровню энерговыработки звезды. Для сравнения, текущее энергопотребление всей сети Bitcoin составляет около 13–25 гигаватт, что на порядок меньше, чем требуется для квантового майнинга.
Дальнейшие исследования показывают, что теоретическое преимущество в ускорении алгоритма Гровера в реальной инженерной практике компенсируется различными издержками и не может быть реально преобразовано в прибыль от добычи. Квантовая добыча неосуществима как с физической, так и с экономической точки зрения.
Google并非唯一讨论这一问题的机构。Coinbase、以太坊基金会以及斯坦福区块链研究中心等均已推进相关研究。以太坊基金会研究员Justin Drake评价称:“到2032年,量子计算机从暴露的公钥中恢复secp256k1 ECDSA私钥的概率至少为10%。尽管在2030年前出现具有密码学意义的量子计算机仍看似不太可能,但现在无疑是开始做好准备的时候。”
Таким образом, нам не нужно беспокоиться о том, что квантовые вычисления нанесут смертельный удар добыче, поскольку объем необходимых ресурсов远远 превышает любые рамки рационального экономического решения. Никто не потратит столько энергии, чтобы захватить 3,125 биткойна из одного блока.
Криптовалюты не исчезнут, но им нужна модернизация
Если квантовые вычисления поставили вопрос, то отрасль уже давно имеет ответ — это постквантовая криптография (Post-Quantum Cryptography, PQC), то есть криптографические алгоритмы, устойчивые к квантовым компьютерам. Конкретные технические подходы включают внедрение квантово-устойчивых алгоритмов цифровой подписи, оптимизацию структуры адресов для снижения раскрытия открытых ключей, а также постепенный переход через обновления протоколов. В настоящее время NIST завершила стандартизацию постквантовой криптографии, при этом ML-DSA (алгоритм цифровой подписи на основе модулярных решеток, FIPS 204) и SLH-DSA (бессостоятельный алгоритм цифровой подписи на основе хеширования, FIPS 205) являются двумя основными постквантовыми схемами цифровой подписи.
На уровне сети Bitcoin BIP 360 (Pay-to-Merkle-Root, сокращенно P2MR) был официально принят в базу предложений по улучшению Bitcoin в начале 2026 года. Он направлен на тип транзакций, введенный обновлением Taproot, активированным в 2021 году. Taproot был задуман как средство повышения конфиденциальности и эффективности Bitcoin, но его функция «траты по ключевому пути» раскрывает публичный ключ при совершении транзакций, что в будущем может сделать его целью квантовых атак. Основная идея BIP 360 заключается в удалении этого пути раскрытия публичного ключа и изменении структуры транзакции, чтобы перевод средств больше не требовал раскрытия публичного ключа, тем самым снижая экспозицию к квантовым рискам на корневом уровне.
Для криптовалютной индустрии обновление блокчейна связано с рядом вопросов, включая совместимость на цепочке, инфраструктуру кошельков, систему адресов, стоимость миграции пользователей и координацию сообщества, требуя участия протокольного уровня, клиентов, кошельков, бирж, депозитарных учреждений и даже обычных пользователей для обновления всей экосистемы. Однако по крайней мере вся индустрия уже достигла консенсуса по этому вопросу, и дальнейшее продвижение — это лишь вопрос выполнения и временных рамок.
Заголовок впечатляет, но на деле не так срочно
После детального анализа этих последних достижений становится ясно, что ситуация не така уж тревожна. Хотя исследования в области квантовых вычислений ускоряются и приближаются к реальности, у нас всё ещё достаточно времени для подготовки. Сегодняшний Bitcoin — это не статичная система, а сеть, которая на протяжении последних десятилетий постоянно развивалась: от обновлений скриптов до Taproot, от улучшений приватности до решений для масштабирования — она постоянно ищет баланс между безопасностью и эффективностью.
Вызовы, связанные с квантовыми вычислениями, возможно, являются лишь поводом для следующего обновления. Часы квантовых вычислений тикают. Хорошая новость в том, что все мы слышим их звук и успеваем отреагировать. В эпоху постоянных прорывов в вычислительных мощностях нам нужно только обеспечить, чтобы механизмы доверия в криптомире всегда опережали технологические угрозы.